第４１３号コラム「ＩｏＴのセキュリティ対策、その２」

第４１３号コラム：小山 覚　理事（ＮＴＴコミュニケーションズ株式会社　情報セキュリティ部　部長）
題：「ＩｏＴのセキュリティ対策、その２」

ＩｏＴのセキュリティ対策が盛んに議論されるようになってきた。第３５０号コラム「ＩｏＴのセキュリティ対策」ではプロバイダの視点からＩｏＴの懸念をお伝えした。コラム読者からも反響をいただき、ＩｏＴに関わる研究会やセミナーなどで愚説を紹介する機会を得ている。今回は「その２」としてその後の取り組み状況についてご紹介したい。

３５０号コラム執筆後、有難いことに平成２７年度第１回研究開発戦略専門調査会で発表の機会をいただいたので、変化の激しいＩＴ業界においても「１０年後も機能するセキュアなＩｏＴを実現する枠組み」を検討し、各関係業界の「ＩｏＴセキュリティ対策ガイドライン」を作成する取り組みについて提言し、自らも取り組んできた。http://www.nisc.go.jp/conference/cs/kenkyu/dai01/pdf/01shiryou0602.pdf

ＩｏＴセキュリティ対策ガイドラインの必要性は、ＮＩＳＣ・総務省・経済産業省など、関係省庁の時運も相まって、ＩｏＴビジネスにおける国際競争力強化の取り組みにセキュリティ対策は不可欠との共通認識のなか、官民の連携の大きな動きにつながった。あれよあれよという間に、官民が連携したプロジェクト「ＩｏＴ推進コンソーシアム（１０／２３）」が立ち上がり、その下部組織として「ＩｏＴセキュリティＷＧ（２０１６／１／２１）」が設立され、「ＩｏＴセキュリティガイドライン」の策定に向けた動きが始まった。
http://www.iotac.jp/wg/security/

ＩｏＴセキュリティガイドラインは、我が国においてその最初の道筋をつけるという観点からも極めて重要で緊張感のある取り組みである。ＩｏＴセキュリティＷＧではさらに分科会が開催され、網羅的で誤解のない細部の表現へのこだわりと、ＩｏＴ分野における国際競争力を意識した標準化への深慮と、程よい文章の抽象化について活発な議論が行われた。

ガイドラインの執筆は、総務省と経済産業省が中心となり、ＩｏＴセキュリティに関連する民間団体等で執筆中の個別のガイドラインなどの情報が、どさっと持ち込まれ、重複や過不足を調整し、少ない紙面の優先順位を議論して、目次を整理し煮詰めの作業が行われている。比較的短期間であったが広範な課題をまとめることができたのは、ＩｏＴビジネスへの期待と、ＩｏＴセキュリティ対策の必要性について意見が一致したことと、関係者の情熱の賜物であり深く感謝する次第である。 現在、ガイドライン作成は最終段階であり、残念ながら細部の紹介は公開をお待ちいただきたいが、概ねの考え方は以下に紹介されているのでご覧いただきたい。
http://www.iotac.jp/wp-content/uploads/2016/01/資料2_IoTセキュリティガイドラインについて.pdf

さて、ＩｏＴセキュリティガイドラインができ、セキュリティ対策が強化されても、ビジネス面での競争力強化につながらないとガイドラインの真の目的は達成できない。私自身はガイドラインの執筆段階の多くの議論に参加させていただいたが、その期間を通じてモヤモヤとしていたことがある。それは、セキュリティ対策のコストは誰が負担するのかということだ。

ＩｏＴには産業用と民生用があり一括りにはできない。しかし売り切ってしまったＩｏＴデバイスのメーカーを探し出して、後出しジャンケン的に対策コストを押し付けるのはナンセンスである。一方で実態として民生用のＩｏＴデバイスが野良化し、悪用され対策を行う際にはプロバイダ等の通信事業者が仲介し、自らのコストで誰かのツケを払っているような状態である。言うまでもなくセキュリティ対策は非機能要件であり、そもそもコストをかけて何かを行う意思決定が難しい側面がある。しかし売ってしまった後から対策を行うと、最初から実装する場合の何倍も必要になることは自明である。

ＩｏＴビジネスに関わる総合コストを最小化することは、この分野での国際競争力にもつながると信じて互いに協力し、例えば関係者が少しづつコストを先出しして、利益を後から回収するようなサービス提供モデルを考えられないものだろうか？

【著作権は、小山氏に属します】